Sicherheitslücken im LTE-Netz
Auch das moderne LTE-Netz birgt jede Menge Sicherheitslücken, die bislang noch nicht ausgemerzt sind. Beim 5G-Standard drohen neben der Übernahme von Altlasten ganz neue Risiken.
Dass Handygespräche von Dritten abgehört und SMS mitgelesen werden können, ist der breiten Öffentlichkeit spätestens seit dem NSA-Abhörskandal um Kanzlerin Merkels Mobiltelefon bekannt. Doch dass der derzeit fortschrittlichste Mobilfunkstandard LTE enorme Sicherheitslücken aufweist, lässt ei...
Dass Handygespräche von Dritten abgehört und SMS mitgelesen werden können, ist der breiten Öffentlichkeit spätestens seit dem NSA-Abhörskandal um Kanzlerin Merkels Mobiltelefon bekannt. Doch dass der derzeit fortschrittlichste Mobilfunkstandard LTE enorme Sicherheitslücken aufweist, lässt einen schon mal trocken schlucken. Schließlich haben die schnellen LTE-Netze den mobilen Alltag revolutioniert: Viele haben ihr Smartphone unterwegs nahezu im Dauereinsatz – und jede Menge sensibler Daten darin gelagert.
Zehn neue Sicherheitslücken in LTE
Sicherheitsforscher von den US-Universitäten Purdue und Iowa haben zahlreiche Schwachstellen in den LTE-Netzen mehrerer amerikanischer Netzbetreiber entdeckt, die es Angreifern ermöglichen, Nutzer zu tracken, Geräte stillzulegen oder Nachrichten zu fälschen. Dazu haben sie das 4G-Protokoll mit einer Software namens „LTEInspector“ auf mögliche Lecks überprüft und dabei zehn neue Sicherheitslücken gefunden sowie neun bereits bekannte dokumentiert.
Anhand von unterschiedlichen Angriffsszenarien konnten die Wissenschaftler unter realen Bedingungen nachweisen, dass der Zugriff auf fremde Handys möglich ist. Dabei verhinderten die Sicherheitsforscher, dass sich das Handy einer Testperson in das reguläre Netzwerk einbuchte und brachten es dazu, sich stattdessen mit einer eigenen Endstelle zu verbinden. Über so einen gefälschten Zugang lässt sich das Gerät jedes beliebigen Nutzers verfolgen und ausspähen oder mit gefälschten Warnhinweisen bespielen.
Kriminelle können ihren eigenen Standort fälschen, um sich etwa bei einer Strafverfolgung, bei der Handydaten ausgewertet werden, ein falsches Alibi zu verschaffen. Auch gefakte SMS-Meldungen lassen sich über eine gehackte Mobilfunknummer versenden, um Spam zu verbreiten oder Chaos zu stiften. So hat erst Anfang Januar eine falsche SMS-Warnung vor einem Raketenangriff auf Hawaii Panik ausgelöst. Des Weiteren lässt sich mit gefälschten Kontrollbefehlen der Akku des getrackten Smartphones schneller leeren: Dazu wird das Gerät immer wieder neu ins Netz eingebucht, was viel Strom frisst. So lässt sich aus der Ferne eine Person daran hindern, im Notfall Hilfe anzufordern oder Kontakt mit anderen aufzunehmen.
Patches schließen Lücken nicht
Laut den US-Forschern sind die gravierenden Schwachstellen allesamt an drei wichtigen Stellen des LTE-Protokolls zu finden: Sie betreffen die Anmeldung oder Abmeldung eines Gerätes am Netzwerk (Attach und Detach) sowie den Aufbau eines Anrufes, um die Konfiguration zum Gerät zu senden oder Notfall-Meldungen zu verschicken (Paging). Das Problem dabei: Die Lücken stecken tief im Protokoll und lassen sich nicht im Nachhinein durch Bugfixes beheben. Und Änderungen im Protokoll kann man auch nicht einfach einspielen, da sonst Millionen Geräte nicht mehr mit dem LTE-Netz kompatibel wären.
Basisnetz von Grund auf unsicher
Die Sicherheitsbugs haben eine lange Historie: Die grundlegenden Protokolle für die Signalisierungsnetze, die dazu dienen, alle Serviceinformationen innerhalb eines Telefonnetzwerkes zu übertragen, wurden 1981 weltweit als Standard verabschiedet. Damals gab es nur eine sehr überschaubare Anzahl staatlicher Telekommunikationsfirmen. Das sogenannte Signalisierungssystem Nummer 7 (SS7), über das die netz- und länderübergreifende Kommunikation sowie Roaming gesteuert wird, wurde von Grund auf nicht auf Sicherheit gebaut. Man ging davon aus, dass ohnehin nur vertrauenswürdige Netzbetreiber Zugriff auf das SS7-Netzwerk haben.
„Früher konnten die Betreiber mit eigenen Protokollen und vom Internet abgeschirmten Netzen die meisten Angreifer fernhalten“, erklärt Hakan Ekmen, CEO von connect-Netztestpartner P3 Communications. Doch die Bedrohungslage hat sich schon bei 2G- und 3G-Netzen deutlich verschärft: Mittlerweile haben unzählige Betreiber Zugriff auf das alte Roaming-Protokoll. Praktisch jeder kann sich gegen Geld einen SS7-Zugang organisieren, auch mit einem Zugang im Ausland lassen sich etwa deutsche Handys orten.
Die Verschlüsselungsdaten, die TK-Betreiber über das SS7-Netz austauschen, werden häufig automatisiert übertragen, ohne dass eine Authentifizierung erfolgen muss. So ist es für Angreifer einfach, Telefonate abzuhören, Nutzer zu orten oder SMS-TANs abzufangen. Mit dem Diameter-Protokoll, das bei LTE zur Authentifizierung, Autorisierung und Abrechnung dient, wollte man die SS7-Lücken schließen. Doch nach wie vor lässt sich die IMSI-Nummer (International Mobile Subscriber Identity), mit der man die Teilnehmerkennung eines Geräts ermitteln kann, ausspionieren. Mit IMSI- Catchern, die eine Basisstation vortäuschen, kann man ein Handy unbemerkt identifizieren und tracken.
5G birgt neue Sicherheitsrisiken
Immerhin: Bei 5G soll die IMSI-Nummer nur noch der Netzbetreiber auslesen können. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) hat Ende März dennoch eindrücklich davor gewarnt, dass alte Protokollfehler in den neuen Standard übertragen werden und fordert die EU-Kommission auf, höhere Sicherheitsanforderungen festzuschreiben. Da das 5G-Netz Internetprotokolle nutzt, drohen zudem ganz neue Gefahren. Hoffen wir, dass die Mahner Gehör finden – denn wenn die Standardisierung erst einmal abgeschlossen ist, lässt sich im Nachhinein nicht mehr viel drehen. Was die Netzbetreiber zu diesem Thema sagen, lesen Sie auf den folgenden Seiten.
